这是一个创建于 2087 天前的主题,其中的信息可能已经有所发展或是发生改变。
RT,自己的小博客网站想做个管理后台,也就是控制博客发布,设置博客标签和分类之类的功能。目前想直接用 TOTP 验证。
如果设置 30 秒内同一 IP 只能输入 3 次 TOTP 验证码,会不会很容易被暴力破解?
 |
1
agagega 2018-08-08 12:06:09 +08:00 via iPhone
30 秒 1 次也可以吧。暴力破解不太现实,不过想一想要是万一数据库泄漏了,还是加上一个固定密码吧
|
 |
2
sobigfish 2018-08-08 12:23:00 +08:00
固定 pin (字母或者数字)+totp 一起输入 后台验证 稍微好点?
@agagega #1 数据库都泄露了的话怎么都不安全了 |
 |
3
honeycomb 2018-08-08 12:50:21 +08:00 via Android
totp 是 secret 的摘要,它的一般用法适合密钥或别的 credential 一起使用,以减低风险。
如果要单用 totp,是需要用比较长的摘要比较好,但 totp 协议里好像只规定了 6 位或 8 位数字,它们的空间太小 |
Select Language